Преобразует ли число изображений как его выполнение?

Question

Я говорю о загруженных пользователем изображениях.Эти изображения могут быть небезопасными и даже могут содержать сценарии и тому подобное.Мне сказали, что пока я не выполню образ, у меня все будет хорошо.Что именно считается выполнением изображения?Если пользователь загружает файл .png и мне нужно сначала преобразовать его в .jpg перед его отображением, считается ли это преобразование выполнением изображения.

Answer 1

Если вы, например, используете какую-то библиотеку для работы с библиотекой, то единственным способом для этого быть угрозой безопасности является проблема с самой библиотекой.Например, если в библиотеке существует проблема безопасности переполнения буфера, простой процесс чтения изображения может потенциально заставить ее выполнить код, удобно скрытый в изображении (то есть изображение больше не будет изображением, оно будет превращено в код).

Если вы используете стандартные библиотеки, шансы на такие дыры в безопасности довольно малы.Хотя и не ноль, но, думаю, вам придется с этим смириться или больше не смотреть ни на одну цифровую картинку в вашей жизни.

Answer 2

При условии, что инструмент, используемый для преобразования изображения, не уязвим для каких-либо эксплойтов, сам процесс его преобразования не требует его выполнения.

Answer 3

Вы можете доверять процессу преобразования изображений, если хотите, но, как говорили другие, существует риск того, что простая обработка данных может сделать вас уязвимым.Вы можете предпринять другие шаги, чтобы изолировать шаг обработки изображения, если он критичен.

Вы можете поместить этот шаг на отдельном компьютере, чтобы компромисс не поставил вредоносный код на сервер, общающийся с общественностью.Вы также можете запустить этот процесс как другой пользователь, так что эксплойту придется повысить привилегии, чтобы поставить под угрозу вашу службу.